Ca y est, j’ai ajouté des certificats https serveur let’s encrypt.
Pourquoi du https?
Depuis l’affaire Snowden, on sait que les gouvernements, même ceux qui ce disent démocratiques surveillent massivement le trafic internet. De plus en plus de sites passent au cryptage des échanges via https. Même google s’y est mis, c’est dire ... Donc, j’avais mis aussi du https sur certains de mes sites. Le seul problème, c’est que j’avais des certificats auto-signés (des certificats fait par moi même). Ça permet le cryptage mais les utilisateurs avaient une vilaine popup qui leur disait de se méfier de ce certificat. En effet, pour qu’un certificat soit "valide" coté identification du site émetteur, il faut qu’il soit créé par une autorité de certification reconnue par le navigateur ce qui n’est pas mon cas évidemment.
D’où l’utilisation de let’s encrypt
On peut avoir la doc d’installation a cette adresse : https://letsencrypt.org/. Je ne pouvais pas l’installer avant la mise a jour de mes serveurs : la distribution que j’utilisais était trop vieille mais l’installation de lets encrypt était aussi le but du passage a Debian Jessie.
Comment on installe ça ?
Il suffit de suivre le tutoriel situé dans Getting Started. C’est bien expliqué et avec une distribution bien a jour, ca marche du premier coup.
Qu’est ce qu’il faut savoir ?
Les certificats émis n’ont une validité que de 3 mois. C’est fait pour inciter a faire un renouvellement automatique. C’est connu, la majorité des bugs ont pour origine l’interface chaise-clavier ... C-a-d les erreurs humaines. On peut utiliser cette commande :
letsencrypt-auto -d domaine_1,domaine_2,...,domaine_n -renew-by-default -no-redirect -text
Il faut un accès au domaine à passer en https en http. En fait , pour créer le certificat, le script va télécharger un fichier qu’il va placer a la racine du site en http, puis accéder a ce fichier depuis le web et ainsi valider le fait que le site est detenu par le propriétaire du site. Dans mon cas, certains de mes sites n’étant accessibles qu’en https, j’ai du créer un virtual host bidon qui a juste une page d’index qui renvoie un 404 personnalisé.
Bilan
Installation facile (avec une distribution à jour ..)
Création des certificats unitaire ou en groupe
Installation de ces certificats et paramétrage du serveur WEB (Pas testé)
Renouvellement automatique (testé en lançant le script à la main, le cron devrait en relancer au 1er du mois)